Es interesante desde un punto de vista puramente científico cómo los atacantes inventan nuevos métodos y esquemas para distribuir cargas útiles maliciosas en los sistemas de los usuarios.
La fuente “HoeflerText” no fue encontrada es un ataque reciente que cambia el texto del sitio web para que parezca que falta una fuente, para conseguir que los usuarios descarguen e instalen una supuesta actualización para Chrome que añade la fuente al sistema.
Ya hablé de esto en el foro privado de Ghacks para apoyos en enero. El primer informe sobre el ataque vino de Proofpoint según mi leal saber y entender.
El informe revela en detalle cómo funciona el ataque. La mayoría de los tecnicismos detrás del ataque probablemente no son tan interesantes para el usuario medio de Chrome, así que aquí hay una breve reseña de los chismes importantes:
- El ataque requiere que el usuario visite un sitio web comprometido.
- El script de ataque en el sitio comprueba varios criterios – país, agente de usuario y referenciador – y sólo insertará el script de fuente no encontrada en la página si se cumplen los criterios.
- Si ese es el caso, la página entera es reescrita por el guión insertado de manera que se vea confusa y se vuelva ilegible para el usuario.
- Después se muestra un popup para pedir al usuario que descargue la fuente que falta y la instale después en el sistema. Esa descarga es la carga de ataque real que contiene el código malicioso.
El popup está hecho para que parezca un aviso oficial del propio navegador Chrome. Tiene un logo de Google, y dice:
La fuente “HoeflerText” no fue encontrada.
La página web que está tratando de cargar se muestra incorrectamente, ya que utiliza la fuente “HoeflerText”. Para corregir el error y mostrar el texto, tienes que actualizar el “Paquete de fuentes Chrome”.
Muestra información del fabricante (falso) y de la versión del Chrome Font Pack. Un clic en el botón de actualización descarga un archivo ejecutable (Chrome_font.exe) al sistema y cambia la ventana emergente para mostrar información sobre cómo ejecutar el archivo ejecutable para actualizar las fuentes Chrome.
Nota : Las indicaciones, el nombre de la fuente que falta y el nombre del archivo pueden ser cambiados en cualquier momento por los atacantes. Ni que decir tiene que no debes hacer clic en el botón de actualización, ni instalar el archivo ejecutable descargado si ya lo has hecho.
Lo que puedes hacer
La única opción que tienes es esperar a que el dueño del sitio arregle el sitio web para eliminar los scripts maliciosos que se ejecutan en él. Una vez hecho, debería volver a la normalidad siempre y cuando la limpieza haya sido exhaustiva.
Si necesitas acceder al sitio inmediatamente, revisa The Wayback Machine para saber si existe una copia archivada de la misma.